A avaliação da Governança de TI deve ser realizada pelo nível de maturidade dos processos da área de TI.
É necessária a compreensão dos critérios para a determinação do nível de maturidade estabelecidos pelo CobiT 4.1, conforme mostra a tabela abaixo.
Maturidade Descrição
Nível 0
(Não existe) Desconhecimento, por parte da organização, dos processos e do problema a ser tratado. Nível 1
(Inicial/ Ad Hoc)
Existe um reconhecimento dos problemas e até dos processos, porém as atividades são executadas de acordo
Fu nd am en to s d e G ov er na nç a d e T I Maturidade Descrição Nível 2 (Repetível)
Existem processos informalmente definidos, com resultados previsíveis, porém sem nenhuma padronização das atividades. Nível 3
(Processos definidos)
Os processos são definidos, formalizados e padronizados na organização, os resultados gerados são conhecidos e as pessoas treinadas sempre que necessário.
Nível 4
(Gerenciados e medidos)
Os processos formalizados são medidos e controlados, gerando um ambiente de acompanhamento contínuo do desempenho.
Nível 5 (Otimizado)
Existe uma realimentação do desempenho medido, gerando um ciclo de melhoria contínua.
A avaliação da Governança de TI baseada no CobiT 4.1 deve ser realizada por meio de entre- vistas com os responsáveis das áreas tecnológicas, com o apoio de questionários preparados para levantar as informações necessárias e atribuir o nível de maturidade avaliado. É impor- tante salientar que o nível de maturidade desejado em um primeiro momento é o nível 3. Não existe uma regra de mudança de nível. É possível avaliar um processo com maturidade 2 e em uma nova avaliação este processo estar na maturidade 5, dependendo apenas da organização realizar as melhorias contínuas nos processos. A tabela abaixo mostra exem- plos de avaliação de maturidade dos processos de TI baseados no CobiT:
Processo
relacionado Nível de maturidade avaliado Descrição da avaliação da maturidade
PO2 – Definir a Arquitetura da Informação
2 – Repetível 1 Existe um entendimento da necessidade de se definir uma arquitetura de informação corporativa; no entanto, os processos não estão formalmente definidos.
1 Alguns dos resultados são previsíveis, porém não existe uma padronização das atividades.
PO3 – Determinar o Direcionamento Tecnológico
1 – Inicial/
Ad Hoc 1 Existe o reconhecimento da necessidade e importância do planejamento tecnológico, até mesmo dos problemas e processos.
1 As atividades ainda são executadas de acordo com o conhecimento das pessoas.
1 Técnicas e padrões comuns estão emergindo do desenvolvimento de componentes de infraestrutura. PO4 – Definir
os Processos, Organização e Relacionamentos de TI
2 – Repetível 1 Existe um entendimento sobre a necessidade de se definir a organização de TIC, tanto no que diz respeito ao posicionamento de TI, quanto à estruturação e formalização dos diversos processos necessários ao alcance dos resultados esperados de TI. 1 Mesmo para os processos que estão formalmente definidos, há a necessidade de complementar a sua modelagem, inclusive com o alinhamento às melhores práticas de gestão por processos. PO5 – Gerenciar
Investimentos de TI
1 – Inicial/
Ad Hoc 1 Existe a percepção da necessidade de fazer uma gestão melhor estruturada dos investimentos e do aprovisionamento de recursos financeiros para a área de TI.
1 Não há nada formalizado e nem regras estabelecidas que permitam à equipe gerencial da área de tecnologia da informação obter participação no desenvolvimento do planejamento orçamentário e recomendação de investimentos em tecnologia de forma apropriada.
Ca pí tu lo 3 - V is ão g er al d a i m pl an ta çã o d a G ov er na nç a d e T I c om Co bi T Processo
relacionado Nível de maturidade avaliado Descrição da avaliação da maturidade
PO9 – Avaliar e Gerenciar os Riscos de TI
1 – Inicial/
Ad Hoc 1 Não existe um entendimento sobre a importância da análise de riscos de tecnologia, a partir dos riscos para o negócio. Embora se tenha uma metodologia implementada, o processo utilizado por tecnologia ainda é focado em riscos de projeto, ainda imaturo e em desenvolvimento.
1 A avaliação dos riscos é tipicamente em alto nível e normalmente apenas para grandes projetos (isto é, projetos estratégicos). 1 O tratamento dos riscos operacionais normalmente não ocorre. A
área de tecnologia da informação não tem em suas descrições de cargos e procedimentos ações referentes ao tratamento de riscos. PO10 – Gerenciar
Projetos 2 – Repetível 1 Existem processos de gestão de projetos formalmente definidos, com resultados previsíveis, porém estes estão fortemente centrados no desenvolvimento de sistemas, podendo, a partir de esforços mínimos, serem implementados também para outras coordenações, inclusive podendo se expandir para outras secretarias que também atuem em projetos que envolvam TI. AI1 – Identificar
Soluções Automatizadas
3 – Processo definido 1 Existe um processo entendido e definido para aquisição e implementação de soluções, onde os requisitos tendem a ser definidos de forma similar nas diversas áreas de desenvolvimento da tecnologia, com base na lei 8666 e nas melhores práticas adotadas na Administração Pública Federal. 1 A mesma lei 8666 impõe restrições para que a especificação
para a aquisição seja feita em função dos requisitos técnicos e de negócios identificados como os mais “aplicáveis”.
AI2 – Adquirir e Manter Sistemas Aplicativos
2 – Repetível 1 Existe um processo entendido e definido sobre a aquisição e manutenção de aplicações. Esse processo suporta necessidades de aplicações críticas e está alinhado com a estratégia de tecnologia (embora a estratégia não esteja formalizada). No entanto, esse processo nem sempre é aplicado.
1 Os clientes de tecnologia ainda não conseguem identificar claramente o ganho real obtido com os investimentos em tecnologia AI3 – Adquirir e Manter Infraestrutura Tecnológica 1 – Inicial/
Ad Hoc 1 Existe o entendimento da importância da infraestrutura de TI e da necessidade de adoção de processos e procedimentos formalizados. No entanto não há o alinhamento da aquisição e manutenção da infraestrutura de TI com uma estratégia. AI6 – Gerenciar
Mudanças 1 – Inicial/ Ad Hoc 1 A organização está ciente da importância de possuir um processo de gerenciamento de mudanças formalizado. No entanto, a maioria das mudanças não consegue tratar aceitavelmente os riscos de ocorrência de problemas. 1 Também não existe uma interface adequada ao processo de
gestão da configuração (pela falta de um banco de dados de configuração). Além disso, o planejamento e análise de impacto são executados de forma limitada.
AI7 – Instalar e Garantir Mudanças
2 – Repetível 1 Uma metodologia referente à instalação, migração, conversão e homologação está estabelecida. Entretanto, a gestão dessa metodologia não traz resultados de conformidade com o processo.
1 Embora exista formalmente um ciclo de vida de
desenvolvimento, instalação e homologação, ele não é integrado à gestão de configurações. A qualidade das soluções que entram em produção é variável, pois geralmente elas não são revisadas após a implantação.
Fu nd am en to s d e G ov er na nç a d e T I Processo
relacionado Nível de maturidade avaliado Descrição da avaliação da maturidade
DS1 – Definir e Gerenciar Níveis de Serviços
0 – Não existe 1 Na área de TI não existe acordo de nível de serviço com os clientes internos e nem catálogo de serviços definidos.
1 Na área de suporte, apesar de não existirem Service Level Agreements (SLAs), existe o Operational Level Agreement (OLA) com um fornecedor, que é acompanhado e monitorado por um comitê específico. Os relatórios são gerados pelo fornecedor e periodicamente analisados.
DS2 – Gerenciar Serviços de Terceiros
2 – Repetível 1 O processo de supervisão e acompanhamento da entrega de serviços de terceiros é baseado nos contratos. Um contrato assinado é usado como padrão para o acompanhamento, com termos, condições e descrição dos serviços providos por terceiros. DS5 – Garantir
a Segurança dos Sistemas
1 – Inicial/
Ad Hoc 1 Existe um entendimento geral sobre a segurança de sistemas de informação. 1 As responsabilidades pela segurança da informação não são
claramente definidas, gerenciadas e monitoradas, bem como as normas e práticas de segurança não estão definidas. Existe uma padronização para identificação, autenticação e autorização de usuários.
DS7 –
Treinamento de Usuários
1 – Inicial/
Ad Hoc 1 Existe a necessidade de um programa de treinamento e educação, inclusive com treinamento dos processos operacionais da organização.
1 Os usuários são treinados, porém o pessoal da área técnica não recebe treinamento. DS8 – Gerenciar Central de Serviços e Incidentes 1 – Inicial/
Ad Hoc 1 Existe uma conscientização sobre a necessidade de um Help Desk único e centralizado, entretanto não existe um Service Desk.
DS9 – Gerenciar
Configuração 2 – Repetível 1 A necessidade de um gerenciamento de configurações é reconhecida, inclusive com projeto em andamento para elaboração de um banco de dados de configuração. 1 As tarefas de gerenciamento de configuração, tais como
manutenções de inventários de hardware e software, ainda são executadas em bases individuais. Não existe uma prática padronizada.
DS10 – Gerenciar Problemas
2 – Repetível 1 Existe o gerenciamento de incidentes, mas a integração entre o gerenciamento de incidentes com o gerenciamento de problemas não está efetivamente implementada.
1 Há a necessidade de estabelecer um processo de gerenciamento de problemas e integrá-lo com os processos de gerenciamento de configuração e mudanças.
DS11– Gerenciar
Dados 1 – Inicial/ Ad Hoc 1 Manter a integridade dos dados é uma preocupação dentro da organização. 1 A propriedade de dados ainda não está definida.
1 As regras e requisitos de negócio ainda não estão documentados, embora se tenha uma percepção por áreas e usuários chaves. DS12 –
Gerenciar Ambiente Físico
1 – Inicial/
Ad Hoc 1 A necessidade de proteção física do ambiente de TI é conhecida, inclusive com ações de proteção contra intervenção humana e natural.
1 Embora existam bons controles e um relativo formalismo de ações referentes a instalações de um modo geral, do ponto de vista de TI não existem procedimentos para a gestão de instalações, havendo dependência da habilidade dos envolvidos.
1 Existem alguns mecanismos de restrição de acesso ao ambiente dos prédios onde estão localizados os equipamentos de TI.
Ca pí tu lo 3 - V is ão g er al d a i m pl an ta çã o d a G ov er na nç a d e T I c om Co bi T Processo
relacionado Nível de maturidade avaliado Descrição da avaliação da maturidade
DS7 –
Treinamento de Usuários
1 – Inicial/
Ad Hoc 1 Existe a necessidade de um programa de treinamento e educação, inclusive com treinamento dos processos operacionais da organização.
1 Os usuários são treinados, porém o pessoal da área técnica não recebe treinamento. DS8 – Gerenciar Central de Serviços e Incidentes 1 – Inicial/
Ad Hoc 1 Existe uma conscientização sobre a necessidade de um Help Desk único e centralizado, entretanto não existe um Service Desk.
DS9 – Gerenciar
Configuração 2 – Repetível 1 A necessidade de um gerenciamento de configurações é reconhecida, inclusive com projeto em andamento para elaboração de um banco de dados de configuração. 1 As tarefas de gerenciamento de configuração, tais como
manutenções de inventários de hardware e software, ainda são executadas em bases individuais. Não existe uma prática padronizada.
DS10 – Gerenciar
Problemas 2 – Repetível 1 Existe o gerenciamento de incidentes, mas a integração entre o gerenciamento de incidentes com o gerenciamento de problemas não está efetivamente implementada.
1 Há a necessidade de estabelecer um processo de
gerenciamento de problemas e integrá-lo com os processos de gerenciamento de configuração e mudanças.
DS11– Gerenciar
Dados 1 – Inicial/ Ad Hoc 1 Manter a integridade dos dados é uma preocupação dentro da organização. 1 A propriedade de dados ainda não está definida.
1 As regras e requisitos de negócio ainda não estão
documentados, embora se tenha uma percepção por áreas e usuários chaves.
DS12 – Gerenciar
Ambiente Físico 1 – Inicial/ Ad Hoc 1 A necessidade de proteção física do ambiente de TI é conhecida, inclusive com ações de proteção contra intervenção humana e natural.
1 Embora existam bons controles e um relativo formalismo de ações referentes a instalações de um modo geral, do ponto de vista de TI não existem procedimentos para a gestão de instalações, havendo dependência da habilidade dos envolvidos.
1 Existem alguns mecanismos de restrição de acesso ao
ambiente dos prédios onde estão localizados os equipamentos de TI.
DS13 – Gerenciar
Operações 3 – Processos Definidos 1 O gerenciamento das operações é uma atividade reconhecida pela organização. 1 Existe alocação de pessoas na área com essa atribuição,
treinadas inclusive com ações on-the-job.
1 As ações repetíveis são formalmente definidas, padronizadas e com alguma documentação.
1 Os eventos e tarefas resultantes são documentados, mas o relato gerencial ainda é limitado.
Está apresentada abaixo a avaliação do nível de maturidade dos processos de TI de uma organização com base no CobiT. Complete informando o nível de maturidade e o processo referente a esta avaliação.
Fu nd am en to s d e G ov er na nç a d e T I